谈到企业安全需求,就不得不谈到企业的数字能力;谈到企业的数字能力,就避不开企业购买的众多安全产品:为何购买了那么多的安全产品,却还是躲不掉配置错误、买来不用等这些“万年深坑”?
是不是经常有领导这样想:买来这么一堆安全产品有什么用?或许不部署安全措施,反而能让IT工程师的警惕性更高些?换句话说:是不是这种错误的安全感,比没做安全更糟糕?
企业安全“悖论”的原因
对于企业安全的这些问题,MailData经过细致分析,发现一般是以下4因素进行影响:
1、安全产品繁杂。
公司购买的安全产品太多,各种安全防护交叉操作,自然会有忽略的漏洞。同时,众多安全产品皆需要相应的运维费用,也会导致真正需要资金的安全项目资金不足,无法进行有力防护。
2、安全防护不够精细化。
企业数字安全涉及多个系统,需要针对系统的专业型安全防护工具,如MailData系列产品,就是专门针对企业等机构的邮件系统安全和数据使用。如果企业仅以一个安全产品来涵盖全部的安全管理,必然会存在一些不足。
3、企业安全IT团队管理粗犷。
企业数字安全涉及多个安全分支,而负责的安全IT人员分工不明,一人兼管多项,导致易出现漏洞。
4、安全人员培训问题。
专业的设备,需要IT技术人员专业操作。如果企业自身无法提供相应的培训,而安全产品厂商也不提供设备的专业培训,很容易出现产品操作失误、或者弃之不用的问题。
公司安全改进措施
1、所有没在用的/错误配置的安全解决方案,统统扔掉。
只有去除这些冗余无效的安全方案,才能磨出企业安全的“刀刃”。没那么多安全工具,没那么混乱,劲就能往一处使,安全态势也就会更好。
2、划拨专业安全的专项资源。
针对这些单个的专业安全工具,划拨专项资金和专门的技术资源来好好利用,让它们可以切实得到最大效利用,还能为公司省下很多时间、精力和金钱。
3、调配出每个安全小支的安全团队,并能够根据不断发展变化的业务需求,做出精准改变。
专攻一个安全解决方案,并可以随进行团队调配,可以有效提升安全人员的责任感,减少推诿个人责任的机会,还能够帮助企业建设员工相互支持的企业文化。
当然,也不是随便哪个安全解决方案都能承担起护卫公司安全的重责。公司企业应该找寻的,是专注基本安全控制功能的解决方案,如安全配置管理、漏洞管理、邮件安全管理等。
对于为什么安全解决方案要专注基本安全措施,Tripwire首席安全研究员 Travis Smith表示:“基本安全控制切实有效。仅仅实现首要的五项基本控制,就能防止85%的常见网络攻击,实现20个安全控制措施能防止97%的常见网络攻击,只要遵循基本安全指南就行。”
企业数字安全管理,自然是数字说明一切。很明显,找到集成了这些专业的基本安全解决方案,才最符合公司利益。
来源:freebuf.com 2020-08-28 16:22:17 by: 啃玉米的小仙女
请登录后发表评论
注册